Date post: | 11-Jul-2015 |
Category: |
Documents |
Upload: | peralta-mario |
View: | 1,214 times |
Download: | 5 times |
5/11/2018 Memorandum de Planeacion 2011 - slidepdf.com
http://slidepdf.com/reader/full/memorandum-de-planeacion-2011 1/44
[AUDITORES IP, S.A. DE C.V.] Memorándum de Planeación Auditoria de Sistemas
AUDITORIA DE SISTEMAS
Ciudad Universitaria | Ciclo II 2011
UNIVERSIDAD DE EL SALVADOR
FACULTAD DE CIENCIAS ECONÓMICAS ESCUELA DE CONTADURÍA PUBLICA
TEMA: “DISTRIBUIDORA SAN ANDRES” MEMORANDUM DE PLANEACION AUDITORIADE SISTEMAS.
GRUPO TEORICO: 03
INTEGRANTES:
MARIO ERNESTO PONCE PERALTA PP05033IRENE MABEL HUEZO MELARA HM03033
5/11/2018 Memorandum de Planeacion 2011 - slidepdf.com
http://slidepdf.com/reader/full/memorandum-de-planeacion-2011 2/44
[AUDITORES IP, S.A. DE C.V.] Memorándum de Planeación Auditoria de Sistemas
I. TERMINOS Y COMPROMISOS DE LA AUDITORIA ................................................................................. 1
1) OBJETIVO GENERAL. ............................................................................................................................. 1
II. INFORMACIÓN GENERAL DE LA ENTIDAD. .......................................................................................... 2
1) ANTECEDENTES: ................................................................................................................................... 2 2) ESTRUCTURA ORGANIZACIONAL: ......................................................................................................... 3 3) POLITICAS Y PROCEDIMIENTOS: ........................................................................................................... 4
III. INFORMACIÓN PRELIMINAR DEL SISTEMA ......................................................................................... 4
1) MARCO LEGAL: ..................................................................................................................................... 5 2) PANORAMA TECNICO: .......................................................................................................................... 6
IV. NIVELES DE SEGURIDAD DEL SISTEMA ................................................................................................ 8
V. VALORES PARAMETRIZABLES DEL SISTEMA ........................................................................................ 9
VI. ORIGEN Y ENTRADA DE DATOS. ........................................................................................................ 10
VII. PROCESAMIENTO DE DATOS. ....................................................................................................... 10
VIII. PISTAS DE AUDITORIA. ................................................................................................................. 11
IX. DETERMINACION DE AREAS DE RIESGO ............................................................................................ 11
X. ADMINISTRACION DE LA AUDITORIA ................................................................................................ 19
1) ASIGNACION DEL PERSONAL. ............................................................................................................. 19 2) CRONOGRAMA DE ACTIVIDADES, FECHAS CLAVE Y PRESUPUESTOS DE TIEMPO. .............................. 19
XI. ANEXOS ............................................................................................................................................ 22
1) CUESTIONARIOS DE CONTROL INTERNO UTILIZADOS PARA EVALUAR EL RIESGO. ............................. 22 2) PROGRAMAS DE AUDITORIA. ............................................................................................................. 34 3) CEDULA DE MARCAS DE AUDITORIA. ................................................................................................. 41
IINNDDIICCEE GGEENNEER R AALL
5/11/2018 Memorandum de Planeacion 2011 - slidepdf.com
http://slidepdf.com/reader/full/memorandum-de-planeacion-2011 3/44
[AUDITORES IP, S.A. DE C.V.] Memorándum de Planeación Auditoria de Sistemas
II.. TTEER R MMIINNOOSS Y Y CCOOMMPPR R OOMMIISSOOSS DDEE LL A A A AUUDDIITTOOR R II A A
1) OBJETIVO GENERAL.
Emitir una opinión sobre la efectividad y razonabilidad de las cifras e información
generadas por el sistema de Control de Inventarios y Facturación Trey Fact, con base a
procedimientos de auditoria determinados, considerando el control interno y la aplicación
de las normas legales y profesionales.
2) OBJETIVOS ESPECIFICOS.
Evaluar los niveles de seguridad y sus controles a fin de determinar las áreas
susceptibles de riesgo.
Evaluar la seguridad lógica y física para determinar si se establecen controles
apropiados para salvaguardar la integridad, oportunidad y fiabilidad de la
información procesada y contenida en el sistema.
Emitir un informe a fin de señalar los hallazgos encontrados respecto a las
debilidades en los controles internos y la fiabilidad de la información generada por
el sistema.
3) ALCANCE:
El alcance del trabajo incluirá la revisión de los procesos, medios de acceso y entrada de
datos, niveles de seguridad e información generada por el sistema.
a) Las áreas de las que se ocupará la Auditoria de Sistemas serán:
Evaluacion de Niveles de Seguridad
Revisión de Controles Generales
Evaluación de parámetros
5/11/2018 Memorandum de Planeacion 2011 - slidepdf.com
http://slidepdf.com/reader/full/memorandum-de-planeacion-2011 4/44
[AUDITORES IP, S.A. DE C.V.] Memorándum de Planeación Auditoria de Sistemas
Evaluación de Planes de Contingencias
Revisión del Sistema Operativo
Revisión del ciclo de vida de las operaciones
4) RESPONSABILIDAD DE LA FIRMA
Hemos sido contratados por la Junta General de Accionistas de la Sociedad
“DISTRIBUIDORA SAN ANDRES, S.A. DE C.V.” para llevar a cabo la auditoria de Sistemas
Informático, para el periodo del 01 de enero al 30 de Noviembre de 2011, para expresar
una opinión sobre la Seguridad lógica del sistema, la efectividad del funcionamiento, la
generación de Estados Financieros, y la razonabilidad y presentación de los mismos.
Se efectuara el trabajo basado en las Normas Internacionales de Auditoria, las cuales
requieren la planeación y ejecución de la auditoria para obtener una seguridad razonable y
evidencia suficiente que provean una base para expresar nuestra opinión.
5) CONTENIDO DE LOS INFORMES
a) Informar a las partes interesadas sobre la Eficiencia y seguridad del sistema a
Auditar.
b) Emitir informes con los resultados de la auditoria conteniendo observaciones,
criterios, causas, efectos, y recomendaciones de las evaluaciones preliminares de Control
Interno, y acerca de los hallazgos encontrados.
c) Emitir informe final el cual contendrá:
Informe de auditoria con los resultados de esta y las conclusiones del examen.
IIII.. IINNFFOOR R MM A ACCIIÓÓNN GGEENNEER R A ALL DDEE LL A A EENNTTIIDD A ADD..
1) ANTECEDENTES:
Distribuidora San Andrés, surge como una Sociedad Anónima inscrita en el registro deComercio 15 de Junio de 2005 con un capital Constitutivo de $ 12,000 Dólares de LosEstados Unidos de América.
5/11/2018 Memorandum de Planeacion 2011 - slidepdf.com
http://slidepdf.com/reader/full/memorandum-de-planeacion-2011 5/44
[AUDITORES IP, S.A. DE C.V.] Memorándum de Planeación Auditoria de Sistemas
La finalidad de la empresa es la compra y venta de Mobiliario para Oficinas.
La empresa es administrada por Oscar René López, Accionista Mayoritario quien cuentacon personal administrativo de apoyo como sigue:
Asistente administrativa Encargada de Ventas y Cobros 4 Vendedores, 1 quien es el gerente de Ventas y 3 que Gestionan ventas por
medio de la atención directa a los posibles clientes que visitan el local.
Proveedores de equipos Informático y accesorios:
STB El Salvador, S.A. de C.V. Equipos Electrónicos Valdés, S.A. de C.V.
Mantenimiento del software:
Asistencia remota por medio del Desarrollador del Sistema.
Soporte técnico:
STB El Salvador, S.A. de C.V.
2) ESTRUCTURA ORGANIZACIONAL:
Organización de la Administración y Operatividad:
La Entidad será gobernada por medio de una Junta Directiva, cuyo presidente y a su vezGerente General es el Sr. Oscar René López. En total la empresa cuenta con 17 personasempleadas.
Organigrama:
5/11/2018 Memorandum de Planeacion 2011 - slidepdf.com
http://slidepdf.com/reader/full/memorandum-de-planeacion-2011 6/44
[AUDITORES IP, S.A. DE C.V.] Memorándum de Planeación Auditoria de Sistemas
3) POLITICAS Y PROCEDIMIENTOS:
POLITICAS RELATIVAS AL SISTEMAS
1. Asignar un perfil de usuario y una contraseña única de acceso según el nivel que
ocupe el usuario2. Restringir el acceso a áreas que no competen según el rol de cada usuario.3. Sellar de procesado todos los documentos después de complementar el proceso de
trascripción de datos para evitar duplicidad de entradas.2. Que los archivos dañados que contienen información confidencial se destruyan de
manera apropiada.3. Se tiene un mantenimiento preventivo cada 3 meses para los equipos de computo.4. Los equipos de Informática se incluyen entre los bienes asegurados por la entidad para
mitigar riesgos.5. Realizar Copias de Seguridad de información procesada al final de cada Periodo
mensual.
IIIIII.. IINNFFOOR R MM A ACCIIÓÓNN PPR R EELLIIMMIINN A AR R DDEELL SSIISSTTEEMM A A
NOMBRE DEL SISTEMA: TREY-FACT.
UTILIDADES: Gestión Comercial (Ventas, Compras, Inventarios)
Junta General deAccionistas
Gerente General
Grente de Ventas
Vendedores
Gestor de Cobros
Despacho yBodegas
Bodeguero
Transportistas
Contabilidad yAdministracion.
Recepcion
Contador
Encargado deCompras eInventario
5/11/2018 Memorandum de Planeacion 2011 - slidepdf.com
http://slidepdf.com/reader/full/memorandum-de-planeacion-2011 7/44
[AUDITORES IP, S.A. DE C.V.] Memorándum de Planeación Auditoria de Sistemas
VERSION: 4.76.00 R6
DESARROLLADOR: Treyder Informatica, S.L.
El sistema TREY-Fact, es una aplicación de distribución gratuita y diseñada para lasPymes, “Distribuidora San Andrés”, decidió adoptar este sistema como una herramienta dela mejora en la eficiencia del manejo de la información operativa de la entidad.
1) MARCO LEGAL:
En lo concerniente al cumplimiento de normas y regulaciones legales, al utilizar un sistema
informático para procesar la información relativa a la facturación y control de inventarios
observamos que principalmente se aplican las siguientes regulaciones:
Leyes Fiscales:
Con el objeto de un buen cumplimiento en lo relativo a la parte fiscal, tanto formal como
sustantiva se hace necesario que una entidad cumpla con la obligación de declarar y pagar
los diferentes impuestos estipulados, tanto como la ley de la renta, ley de IVA, por lo que
un sistema informático deberá garantizar el interés fiscal brindando información
compatible con tal objetivo. El código tributario establecen las distintas disposiciones que
garantizan los fines económicos del estado. Por lo que, como el sistema se encarga de
ingresar información relativa a la emisión de facturas y documentos legales en lasoperaciones de transferencia de bienes y prestación de servicios, el código tributario
establece los requerimientos mínimos de información que deberá contener los documentos
de ventas (comprobantes de Crédito Fiscal, Facturas Consumidor Final, Notas de Crédito y
Debito, Comprobantes de Retención, etc.) y los reportes de control de inventario.
Ley Del Impuesto a La Transferencia de Bienes Muebles y a la
Prestación de Servicios:
Esta ley establece los distintos tipos de impuesto aplicables a las circunstancias o bienesparticularmente descritos en la misma, ante lo cual, el sistema deberá ser capaz de
armonizar adecuadamente las operaciones y procesamiento de datos que realiza con las
diferentes formas que la ley describe como tipos de aplicación de la tasa impositiva.
5/11/2018 Memorandum de Planeacion 2011 - slidepdf.com
http://slidepdf.com/reader/full/memorandum-de-planeacion-2011 8/44
[AUDITORES IP, S.A. DE C.V.] Memorándum de Planeación Auditoria de Sistemas
Leyes y Reglamentos Específicos:
Ley de Fomento y Protección a la Propiedad Intelectual.
Esta ley explica y establece los lineamientos de la protección, uso y difusión de bienes con
propiedad intelectual.
2) PANORAMA TECNICO:
a) Lenguaje de Programación y Base de Datos.
Debido a que el sistema es de distribución gratuita y difundida por internet, no nos fue
posible tener contacto directo con el personal encargado del desarrollo; no obstante a
través de una breve descripción del sistema pudimos obtener información técnica relativa
a esta aplicación:
Trey-Fact es una aplicación de gestión comercial desarrollada bajo un lenguaje de
programación de 32 bits bajo la plataforma de VISUAL DBase PLUS, diseñada para
sistemas Windows desde la edición 2000 hasta el actual Window 7, posee una resolución
predeterminada del área de trabajo de 1024x768 pixeles.
b) Forma de Operación del Sistema
El objetivo a conseguir es el de que la empresa, a través de esta aplicación, les ofrezca asus clientes un mejor servicio, y por consiguiente sea más competitiva en el mercado,optimizando los procesos de gestión comercial en ventas, compras y control deinventarios.
Esta aplicación, está preparada para crecer en función de las necesidades de la entidad,partiendo de un sistema Stand Alone y llegando a sistemas de RED LOCAL óMULTIPUESTO.
El formato de Facturas, Albaranes, Tickets, Recibos, Presupuestos y Etiquetas, se puedepersonalizar para cada caso concreto, según las necesidades. Los formatos que incluye debase esta aplicación están estructurados en función de unos modelos estándar. Si en dadocaso el usuario tiene necesidades específicas en los formatos de estos documentos podrámodificar dichos modelos poniéndose en contacto con el Departamento de Soporte deldesarrollador del sistema.
5/11/2018 Memorandum de Planeacion 2011 - slidepdf.com
http://slidepdf.com/reader/full/memorandum-de-planeacion-2011 9/44
[AUDITORES IP, S.A. DE C.V.] Memorándum de Planeación Auditoria de Sistemas
PRINCIPALES CARACTERISTICAS DEL SISTEMA:
Gestión e informes en Dólares, Euros, Pesetas y en cualquier tipo de moneda.
Copias de seguridad. (Compresión automática)
Múltiples formas de búsqueda en todos los ficheros de introducción de datos. Salvaguardar la confidencialidad de los datos, se puede restringir el acceso a la
aplicación mediante claves de seguridad por el usuario y por empresas.
Permite acceder a otros ficheros mientras se realiza otra tarea (Multitarea).
Compatibilidad para el Uso del teclado y Ratón.
Interfaz con Sistema de Contabilidad (distribuido por el mismo desarrollador).
Mantenimientos.
Gestión de Compras
Gestión de Ventas. Generación de informes.
Utilidades
Ayuda y manuales de usuario.
Orden predefinido en búsquedas.
Comisiones de Agentes y liquidaciones de las mismas.
Control, generación e impresión de códigos de barras.
Precios y descuentos específicos sobre Clientes, Zonas.
Configuración de series para facturas exentas de IVA.
Liberación de pedidos (Compra) albaranes o facturas.
Liberación de presupuestos (Venta) en pedidos, albaranes, facturas o tickets.
Liberación de pedidos (Venta) en albaranes, facturas o tickets.
Generación de facturas sobre albaranes.
Entrada manual de vencimientos.
Listados por pantalla, impresora y generación de archivos en PDF y otros formatos.
Filtros en búsquedas. Organización y configuración empresa mediante series.
c) Manuales Técnicos y de Usuario
5/11/2018 Memorandum de Planeacion 2011 - slidepdf.com
http://slidepdf.com/reader/full/memorandum-de-planeacion-2011 10/44
[AUDITORES IP, S.A. DE C.V.] Memorándum de Planeación Auditoria de Sistemas
El sistema cuenta con manuales de Instalación y Usuario, no obstante el manual técnico
no está a disposición de los usuarios y no es de libre distribución a efectos de Derechos de
autor.
II V V .. NNII V V EELLEESS DDEE SSEEGGUUR R IIDD A ADD DDEELL SSIISSTTEEMM A A
El sistema TREY-FACT, es un sistema informático diseñado con el fin de contribuir a la
eficiencia operativa de las Micro y Pequeñas empresas, por lo que su uso está enfocado al
uso de entidades con una organización no compleja y con cierto grupo de actividades
Relacionadas o vinculadas. En virtud de esta situación el sistema está diseñado para un
usuario Supervisor que se encarga de operar y configurar todos los elementos del mismo
quien ingresa desde la aplicación instalada en el Sistema Operativo, a través de este
usuario se pueden crear nuevos perfiles enfocándolos a la función que este realizara y los
accesos y restricciones que el Administrador considere. El usuario podrá crear una
contraseña de acceso para proteger la manipulación de la información por parte de
personas ajenas a la entidad y asignar a los demás usuarios claves para el ingreso del
sistema.
Como el sistema es de distribución gratuita, solamente es posible obtener los archivos
ejecutables y no los fuente.
Distribuidora San Andrés en función de la naturaleza de las funciones ha creado tres
distintos usuarios que se encargan respectivamente de los siguientes roles:
Administrador-Supervisor (asignado al Gerente Administrativo quien se encarga de
dar mantenimiento del sistema y asignar los roles de los usuarios con menor nivel
de acceso)
Vendedor (quien se le asigna las actividades y los accesos solamente a lasfunciones de venta y facturación)
Compras e Inventario (usuario encargado de ingresar pedidos, recibir e ingresar
artículos al inventario y dar mantenimiento a este).
5/11/2018 Memorandum de Planeacion 2011 - slidepdf.com
http://slidepdf.com/reader/full/memorandum-de-planeacion-2011 11/44
[AUDITORES IP, S.A. DE C.V.] Memorándum de Planeación Auditoria de Sistemas
V V .. V V A ALLOOR R EESS PP A AR R A AMMEETTR R IIZZ A ABBLLEESS DDEELL SSIISSTTEEMM A A
Durante la Ejecución de la Auditoria deberá verificarse la existencia de alguna opinión de
parametrización del sistema, considerando lo siguiente:
a) Quienes están autorizados a parametrizar el sistema.
Según Las especificaciones e indicaciones expresadas en el manual de usuario, los
parámetros serán autorizados por el administrador del sistema.
b) Como se restringe dicho acceso.
La única forma restrictiva del acceso es a través del establecimiento de contraseña
de acceso asignada por el administrador.
c) Que elementos están parametrizados.
Ente los Valores parametrizados identificados según nivel de Acceso:
ADMINISTRADOR
Código de Usuario.
Información General de Empresas.
Configuración de Códigos identificativos de clientes proveedores y
productos.
Moneda y Formato de las cifras.
Tipos de impuestos y regímenes fiscales aplicables.
Cuentas vinculantes a Contabilidad.
Rutas de series para Interfaz de contabilidad.
Información Deseada en los informes.
Opciones de búsqueda.
Información presentada en pantalla en las consultas.
VENDEDOR y ENCARGADO DE COMPRAS E INVENTARIO
Información de usuario.
Acceso restringido a las aplicaciones.
Información de consultas.
5/11/2018 Memorandum de Planeacion 2011 - slidepdf.com
http://slidepdf.com/reader/full/memorandum-de-planeacion-2011 12/44
[AUDITORES IP, S.A. DE C.V.] Memorándum de Planeación Auditoria de Sistemas
Formato de informes.
V V II.. OOR R IIGGEENN Y Y EENNTTR R A ADD A A DDEE DD A ATTOOSS..
Se deberá verificar el origen y proceso que se realizan en el sistema para la toma e
ingreso de datos. A lo cual TREY-FACTU, está diseñado para obtener datos
documentalmente, en el caso de los pedidos, facturas, albaranes y ticket y por medios
mixtos los datos relativos a clientes, productos y proveedores.
La entrada de estos, es de forma manual y permite la asignación de códigos de barra para
lectura electrónica.
V V IIII.. PPR R OOCCEESS A AMMIIEENNTTOO DDEE DD A ATTOOSS..
Verificar el proceso que se realizan en el sistema fuera de las pantallas de captura (cierres,
actualizaciones o cargas de datos), a fin de determinar si se le da seguimiento al
procesamiento establecido a evaluar lo siguiente:
a) Verificar los cálculos de mayor importancia, con base a los datos con que fue
alimentado.
Los cálculos que mayor importancia desempeña el sistema, son los de información de
ventas, pedidos, ingresos y salidas de inventario, así como el reporte de existencias.
Los procesos clave que intervienen en el sistema son: Proceso de Ventas.
Compras.
Facturación y Cobro.
5/11/2018 Memorandum de Planeacion 2011 - slidepdf.com
http://slidepdf.com/reader/full/memorandum-de-planeacion-2011 13/44
[AUDITORES IP, S.A. DE C.V.] Memorándum de Planeación Auditoria de Sistemas
V V IIIIII.. PPIISSTT A ASS DDEE A AUUDDIITTOOR R II A A..
Determinar que controles de registro de pistas de auditoría se han implementado en la
aplicación.
a) Evaluar los registros de auditoria de seguridad identificando usuario, fecha, hora,
Terminal y tipo de evento para lo siguiente:
Intentos de acceso fallidos al sistema
Accesos exitosos al sistema
Salidas del sistema
b) Verificar la existencia de registros de eventos para las distintas opciones demantenimiento de datos en la aplicación, que muestren el usuario, fecha, hora,
Terminal, pantalla u opción utilizada, identificación del registro involucrado y
campos modificados, para lo siguiente:
Proceso de adición de registros
Modificación de registros
Eliminación de registros
II X X.. DDEETTEER R MMIINN A ACCIIOONN DDEE A AR R EE A ASS DDEE R R IIEESSGGOO
La valoración de los riesgos se basa en procedimientos para obtener la información
necesaria para tal propósito y la evidencia obtenida durante la auditoría. Es importante en
toda organización contar con una herramienta, que garantice la correcta evaluación de los
riesgos a los cuales están sometidos los procesos y actividades de una entidad y por
medio de procedimientos de control se pueda evaluar el desempeño de la misma. Por
consiguiente, la Auditoría debe funcionar como una actividad para agregar valor y mejorarlas operaciones de una organización, así como contribuir al cumplimiento de sus objetivos
y metas; aportando un enfoque sistemático y disciplinado para evaluar y mejorar la
eficacia de los procesos de gestión de riesgos, control y dirección.
Viendo la necesidad en el entorno empresarial y teniendo en cuenta que, una de las
principales causas de los problemas dentro de los subprocesos es la inadecuada previsión
5/11/2018 Memorandum de Planeacion 2011 - slidepdf.com
http://slidepdf.com/reader/full/memorandum-de-planeacion-2011 14/44
[AUDITORES IP, S.A. DE C.V.] Memorándum de Planeación Auditoria de Sistemas
de riesgos informáticos se hace necesario entonces estudiar los Riesgos que pudieran
aparece en cada subproceso de Auditoría, esto servirá de apoyo para prevenir una
adecuada realización de los mismos.
Del proceso de análisis y valoración del riesgo en el sistema, podemos identificar los
siguientes:
MATRIZ DE RIESGO
ÁREARIESGO CLASIFICACION
ESTRATEGIA o
CONTROL
IDENTIFICADO
CRITERIO
HARDWARE
Amenazas al
sistema por:
Seguridad
Física
Falta de
Dispositivos para
minimizar daños
al equipo
Alto
No existen
dispositivos
para la
prevención de
daños al
equipo
Es necesario el
uso de
dispositivos
que
prevengan los
daños en el
equipo.
Comunicacione
s
La transmisión de
la comunicación
no segura Alto
Para
comunicarse se
utiliza el
Internet y no
se usan
procedimientos
especiales de
transmisión de
información
Es importante
que la entidad
cuente con
procedimien-
tos de
transmisión de
información
seguros y
confiables.
Acceso lógico
No se cuente con
acceso restringido Medio
No se da
seguimiento al
acceso al
Es de vital
importancia
que se de
5/11/2018 Memorandum de Planeacion 2011 - slidepdf.com
http://slidepdf.com/reader/full/memorandum-de-planeacion-2011 15/44
[AUDITORES IP, S.A. DE C.V.] Memorándum de Planeación Auditoria de Sistemas
ÁREARIESGO CLASIFICACION
ESTRATEGIA o
CONTROL
IDENTIFICADO
CRITERIO
de los empleados
al sistema
sistema, pero
el acceso es
dependiendo el
cargo del
empleado con
su respectiva
clave de
acceso.
seguimiento al
histórico de
accesos al
sistemas asi
como si lo
hacen a horas
no laborales
aunque estos
tengan clavesde acceso
parametriza-
das con
acceso
restringido de
la información.
Accesos Físicos
Que no secuenten con
planes de
señalización de
áreas sensibles o
la debida
asignación de
responsabilidades
del personal que
manipulara el
sistema
Alto
No se cuenta
con un plan, nipolíticas que
relacionen
estos aspectos.
La entidad
debe deformular
normas y
políticas que
contribuyan a
la seguridad y
a la respectiva
responsabili-
dad del
personal
Planes de
Desastres Medio
No cuentan
son ningún
Que la
entidad cuente
5/11/2018 Memorandum de Planeacion 2011 - slidepdf.com
http://slidepdf.com/reader/full/memorandum-de-planeacion-2011 16/44
[AUDITORES IP, S.A. DE C.V.] Memorándum de Planeación Auditoria de Sistemas
ÁREARIESGO CLASIFICACION
ESTRATEGIA o
CONTROL
IDENTIFICADO
CRITERIO
Que la entidad no
cuente con planes
contra desastres
plan o
estrategia
contra
desastres,
únicamente
seguro contra
daños.
con un plan de
contingencias
como
mantenimiento
preventivo
además del
Seguros
contra
desastres.
SOFTWARE Amenazas al
sistema por:
Utilidades y
Software
Que no existan
controles en la
utilización desoftware y
aprobación del
sistema
Medio
A pesar que no
existe control
en la utilización
de programas
utilitarios
sensibles, la
aprobación delsistema y sus
actualizacio-
nes son
realizadas por
autorización de
la Gerencia
Es importante
que se limite
el acceso de
programas
que se puedan
prestar a la
modificaciónde los datos
del sistema sin
dejar rastro
alguno.
Copias de
Respaldo
Falta de
Respaldos de la
información
Bajo
Aunque no se
encuentran
plasmadas
normas que
obliguen al
personal
La entidad
debe tener
documentado
los
procedimiento
s del personal.
5/11/2018 Memorandum de Planeacion 2011 - slidepdf.com
http://slidepdf.com/reader/full/memorandum-de-planeacion-2011 17/44
[AUDITORES IP, S.A. DE C.V.] Memorándum de Planeación Auditoria de Sistemas
ÁREARIESGO CLASIFICACION
ESTRATEGIA o
CONTROL
IDENTIFICADO
CRITERIO
involucrado de
realizar
respaldos ,
estos se hacen
semanalmente
Base de Datos
Que no se cuenta
con una
integridad en laBase de Datos
Medio
Se realizan
actualizaciones
de la base de
datosperiódicamente
, pero no se
cheque o se
audita
Es de benefio
para la
entidad y los
usuarios de lainformación
que cuente
con una
integridad
POLITICAS Y
PROCEDIMI-
ENTOS
Amenazas en el
control interno
en :
Mala selección
de personal que
manipulara el
sistema
informático.
Medio Al contratar al
personal se le
exige
conocimien-tos
fundamenta-
les de
computación,
las que
requiera el
cargo.
La entidad
debe poseer
perfiles de los
puestos.
Que los
informes que
produce el
sistema no sean
los requeridos
Bajo Son de
satisfacción de
los usuarios.
El formato de
los informes
debe estar
actualizado
5/11/2018 Memorandum de Planeacion 2011 - slidepdf.com
http://slidepdf.com/reader/full/memorandum-de-planeacion-2011 18/44
[AUDITORES IP, S.A. DE C.V.] Memorándum de Planeación Auditoria de Sistemas
ÁREARIESGO CLASIFICACION
ESTRATEGIA o
CONTROL
IDENTIFICADO
CRITERIO
según la
exigencia del
usuario.
No exista una
organización de
funciones de los
miembros de la
entidad
Bajo
Las funciones
del personal
esta definida y
estructurada
por medio de
unorganigrama
La
organización
contribuye al
orden lógico
de las
funciones delos miembros
Que no se
cuente con
manuales de
usuario, técnicos
y operativos.
Bajo
El Sistema
cuenta con su
respectivo
manual de
funciones.
Es necesario
que los
manuales sean
proporciona-
dos a los
usuarios para
que facilite la
Manipularaci-
on del sistema
y evaluar lo ya
ejecutado. Si
hay personal
nuevo es
importante
que se le
brinden los
manuales.
SEGURIDAD
EN EL
Que la
administraci-ón Medio
Solo
generación de
Es
indispensable
5/11/2018 Memorandum de Planeacion 2011 - slidepdf.com
http://slidepdf.com/reader/full/memorandum-de-planeacion-2011 19/44
[AUDITORES IP, S.A. DE C.V.] Memorándum de Planeación Auditoria de Sistemas
ÁREARIESGO CLASIFICACION
ESTRATEGIA o
CONTROL
IDENTIFICADO
CRITERIO
SISTEMA no cuente con
medidas para
salvaguardar
los datos y
archivos
respaldos en
zip.
que la
administra-
ción cuente
con medidas
de
salvaguarda
como el
guardar
archivos enmedios
extraíbles y
guardados en
cajas de
seguridad y
fuera del lugar
de trabajo.
Que no setenga certeza
de integridad
de los datos
procesados en
el sistema
AltoSe realizan
actualizacio-
nes pero no se
le ha
practicado una
auditoria al
sistema desde
su
implantación
La entidaddebe aplicarle
auditorias al
sistema actual
para mayor
seguridad en
la información
que se
procesa y
extrae.
5/11/2018 Memorandum de Planeacion 2011 - slidepdf.com
http://slidepdf.com/reader/full/memorandum-de-planeacion-2011 20/44
[AUDITORES IP, S.A. DE C.V.] Memorándum de Planeación Auditoria de Sistemas
Para la evaluación de los riesgos se tomaron las siguientes escalas para categorizarlos en
alto, medio o bajo.
5/11/2018 Memorandum de Planeacion 2011 - slidepdf.com
http://slidepdf.com/reader/full/memorandum-de-planeacion-2011 21/44
[AUDITORES IP, S.A. DE C.V.] Memorándum de Planeación Auditoria de Sistemas
X X.. A ADDMMIINNIISSTTR R A ACCIIOONN DDEE LL A A A AUUDDIITTOOR R II A A
1) ASIGNACION DEL PERSONAL.
El personal que se asigna a la actividad de la ejecución de la auditoria y supervisión del
trabajo, es el siguiente:
Nombre Cargo
Irene Mabel Huezo Melara Auditor Junior.
Mario Ernesto Ponce Auditor Senior.
A continuación se presenta una descripción de las funciones interrelacionadas, que el
equipo profesional llevará a cabo durante la ejecución de la auditoria en lo que respecta al
Estudio y Evaluación del Control Interno y al proceso de Planeación de la auditoria.
El Br. Mario Ponce, Coordinador y Ejecutor, tendrá el compromiso de coordinar los
servicios y de mantener una adecuada comunicación con la administración de la
institución, asuntos como evaluación sobre la suficiencia y oportunidad de la información y
calidad de los informes; observación y recomendaciones diseñadas para mejorar reportesoperacionales, así como informar asuntos de sobre importancia a la Junta Directiva.
La Br. Irene Huezo se encargara de la evaluación del control interno, ejecución de las
pruebas, redacción de los hallazgos y observaciones de la auditoria.
2) CRONOGRAMA DE ACTIVIDADES, FECHAS CLAVE Y PRESUPUESTOS
DE TIEMPO.
Las fechas en las cuales serán entregadas las cartas y los informes son las que a
continuación se detallan; las cuales han sido establecidas tomando en consideración el
tiempo para realizar la auditoria del sistema SIC CONTA correspondiente en el año 2011.
5/11/2018 Memorandum de Planeacion 2011 - slidepdf.com
http://slidepdf.com/reader/full/memorandum-de-planeacion-2011 22/44
[AUDITORES IP, S.A. DE C.V.] Memorándum de Planeación Auditoria de Sistemas
FECHAS CLAVES-Semanas
ACTIVIDADES PRINCIPALES Oct-11 Nov-11 Dic-11
1a 2a. 3a. 4a. 1a 2a. 3a. 4a. 1a 2ª. 3a. 4a.
Conocimiento del Negocio y sistema
Memorando de Planeación
Evaluacion de Control Interno
Ejecucion de la Auditoria
Informe de Hallazgos y Recomendaciones.
Discusión del informe con la Gerencia.
Informe de la Auditoria
El siguiente detalle refleja el número de horas/hombre que estarán a cargo de laejecución del trabajo.
5/11/2018 Memorandum de Planeacion 2011 - slidepdf.com
http://slidepdf.com/reader/full/memorandum-de-planeacion-2011 23/44
[AUDITORES IP, S.A. DE C.V.] Memorándum de Planeación Auditoria de Sistemas
PRESUPUESTO DE HONORARIOS
CARGO
TOTAL DE
HORAS PRESUPUESTADAS COSTO POR HORA TOTAL
AUDITOR 83 HORAS 5 $ 440.00
SUPERVISOR 48 HORAS 10 510.00
Total de horas 139 HORAS
Costos indirectos 150.00
Costo total $1,045.00
ACTIVIDADES A u d i t o r
S u p e r v i s o r
Total de
Horas
PLANEACION Y ORGANIZACIÓN DE LA AUDITORIA 39
Conocimiento del negocio 4 4 8
Identificación de Procesos. 2 2 4
Evaluación del Control Interno 10 8 18
Determinación del Alcance 6 3 9
EJECUCION 71
Ejecución de Programas de Auditoria 35 4 39
Elaboración y Referencia de Papeles de Trabajo 5 2 7
Control de Calidad y Revision de los Papeles de Trabajo 10 15 25
INFORMES 21
Control interno y procesos claves 3 1 4
Evaluación de Sistemas 5 3 8
Opinión de auditoria 3 6 9
TOTAL HORAS 83 48 131
5/11/2018 Memorandum de Planeacion 2011 - slidepdf.com
http://slidepdf.com/reader/full/memorandum-de-planeacion-2011 24/44
[AUDITORES IP, S.A. DE C.V.] Memorándum de Planeación Auditoria de Sistemas
X XII.. A ANNEE X XOOSS
1) CUESTIONARIOS DE CONTROL INTERNO UTILIZADOS PARA EVALUAR
EL RIESGO.
Área: NIVELES DE SEGURIDAD
Objetivo: Conocer los controles existentes sobre la seguridad física delhardware, transmisión de datos, accesos físicos y seguridad en casos deemergencia.
NoPregunta SI NO N/A Observaciones
1.
2.
3.
4.
5.
6.
7.
8.
A. Seguridad Física
¿Existe un buen nivel de seguridad en elalmacenamiento de datos?
¿Con cuantas computadoras cuenta laempresa?
¿Cuántas de las computadoras seocupan específicamente para el sistema?
¿Existe un buen nivel de seguridad en elalmacenamiento de datos?
¿Se dispone con dispositivos deprotección de CPU y memoria central?
¿Se tiene sistema contra incendios?
¿Existen dispositivos para minimizarefectos de daños al equipo de cómputo?
Se cuentan con medidas adecuadas deacondicionamiento de aireacondicionado, ventilación, etc.
X
X
X
X
X
X
6 Computadoras
3 Computadoras
5/11/2018 Memorandum de Planeacion 2011 - slidepdf.com
http://slidepdf.com/reader/full/memorandum-de-planeacion-2011 25/44
[AUDITORES IP, S.A. DE C.V.] Memorándum de Planeación Auditoria de Sistemas
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
El equipo cuenta con seguro específicocontra daños por causa de accidentes odesastres naturales.
¿Se ha detectado algún elemento deorigen natural que pueda afectar elcentro de Procesamiento de Datos?
B. Comunicaciones
¿Cómo se efectúa la transmisión dedatos?
¿Son detectados automáticamente loserrores?
¿Existe integridad en la comunicación delos datos?
¿Se emplea comunicación VPN?
C. Accesos lógicos
¿Existen perfiles de usuarios para elacceso a terminales?
¿Se comparten los perfiles entre gruposde usuarios?
¿Se actualizan regularmente (perfiles)?
¿Se conoce en forma precisa una listaautentica de usuario autorizado con susderechos y asignaciones a cada funcióndel programa?
¿Se da seguimiento a los intentos deviolación de accesos a las terminales?
¿Se utilizan programas especiales deprotección de terminales (bloquea anteintentos de acceso fallido,desconexiones, etc.)?
X
X
X
X
X
X
X
X
X
X
X
Por Internet
5/11/2018 Memorandum de Planeacion 2011 - slidepdf.com
http://slidepdf.com/reader/full/memorandum-de-planeacion-2011 26/44
[AUDITORES IP, S.A. DE C.V.] Memorándum de Planeación Auditoria de Sistemas
21.
22.
23.
25.
26.
27.
28.
29.
D. Accesos Físicos
¿Existe acceso restringido al centro decómputo?
¿Existen mecanismos de identificacióndel personal de informática?
¿Existen localización y señalizaciónadecuada de áreas sensibles.
¿La ubicación del departamento deInformática es independiente del restode departamentos?
E. Plan de Desastres
¿Se cuenta con un plan de desastres?
¿Existen planes y manuales sobrenormas de actuación en caso deemergencia?
¿Se realizan simulacros de emergenciacon el reconocimiento y práctica de lasnormas establecidas?
¿Se cubre con este plan, todos loselementos necesarios para garantizar lacontinuidad del servicio, tras unacontingencia. Se le da mantenimiento yactualización al plan?
X
X
X
X
X
X
X
X
5/11/2018 Memorandum de Planeacion 2011 - slidepdf.com
http://slidepdf.com/reader/full/memorandum-de-planeacion-2011 27/44
[AUDITORES IP, S.A. DE C.V.] Memorándum de Planeación Auditoria de Sistemas
Elaborado por: Irene Mabel Huezo
FECHA:
Autorizado por: Mario Ponce
FECHA:
Cuestionario de Control Interno
Área: Software
Objetivo: Conocer los controles establecidos sobre el uso de programas y
software, copias de respaldo, adquisición de paquetes y base de datos.
No.Pregunta SI NO N/A Observaciones
1.
2.
A. Utilidades y Software
¿Existen controles sobre la utilizaciónde utilitarios?
a) Existe limitación en el número
de usuarios b) Autorización del uso c) Queda registrado su uso
¿Está separado el departamento desistemas, del departamento deprocesamiento de datos?
X
X
X
X
5/11/2018 Memorandum de Planeacion 2011 - slidepdf.com
http://slidepdf.com/reader/full/memorandum-de-planeacion-2011 28/44
[AUDITORES IP, S.A. DE C.V.] Memorándum de Planeación Auditoria de Sistemas
3.
4.
5.
6.
7.
8.
9.
10.
¿Se controlan las modificaciones delsoftware del sistema?
¿Están documentadas esasmodificaciones?
¿Se pueden detectar modificaciones noautorizadas?
¿Existe un procedimiento formal que sedebe seguir antes de que un sistema oprograma sea aceptado y puesto enmarcha?
¿Cuántas personas trabajan
directamente con el sistemaInformático?
¿Cuál es el trabajo que realizan estaspersonas dentro del sistema?
¿Cuáles son las principales funcionesque realiza el sistema?
¿Cuál es el principal objetivo de tenerel sistema dentro de laEmpresa?
X
X
X
X
X
Solo se controlanlas actualizaciones
Administra losmódulos de:clientes,proveedores,presupuestos,pedidos,albaranes,facturas,almacenes, CRM,bancos, cajas(TPV), pagos,cobros, etc.
Llevar un control delas transaccionesdiarias y larespectivaarchivacionautomatizadaoptimizando tiempopara obtener lainformación de
5/11/2018 Memorandum de Planeacion 2011 - slidepdf.com
http://slidepdf.com/reader/full/memorandum-de-planeacion-2011 29/44
[AUDITORES IP, S.A. DE C.V.] Memorándum de Planeación Auditoria de Sistemas
11.
12.
13.
14.
15.
16.
¿Qué informes proporciona el sistemadespués de procesada laInformación?
¿Qué área o departamento de laempresa, dependen directamente delsistema?
B. Copias de Respaldo (Back-up)
¿Existen normas debidamentedocumentadas respecto de laobtención de copias de seguridad?
¿Existe y se mantiene actualizado un Back-up?
¿Se hacen copias de soporte de losprocedimientos y programas?
¿Con qué periodicidad?
C. Adquisición de Paquetes
¿Se efectúa un estudio detallado ydocumentado antes de la adquisiciónde un paquete o del desarrollo de unsoftware internamente?
X X
X
X
X
forma precisa.
Listado deClientes Listado deproveedores Existencias deInventario Estado de cuentade clientes yproveedores Estadístico deventas y compras Cierre de Caja,etc.
El área de compras,ventas e inventario.
Semanalmente.
5/11/2018 Memorandum de Planeacion 2011 - slidepdf.com
http://slidepdf.com/reader/full/memorandum-de-planeacion-2011 30/44
[AUDITORES IP, S.A. DE C.V.] Memorándum de Planeación Auditoria de Sistemas
17.
18.
19.
20.
21.
22.
23.
El Procedimiento de selección incluye: a) Visitas a usuarios b) Demostraciones c) Informe de varios proveedores
d) Pruebase) Aprobación del Usuario
¿El software cubre los aspectos legalesnecesarios para su utilización o uso?
D. Base de Datos
¿Se obtiene regularmente copia de la
base de Datos? ¿Se chequea regularmente la base dedatos para garantizar su integridad?
¿Se obtiene un registro de lasterminaciones anormales de losprocesos que acceden a la base dedatos?
¿Existe documentación y pruebaperiódica de los procedimientos dealteración de la base de datos?
¿Se han definido correctamente lasfunciones del administrador de la basede datos?
X
X
X
X
X
X
X
Solo cuando lorequiere laadministración
5/11/2018 Memorandum de Planeacion 2011 - slidepdf.com
http://slidepdf.com/reader/full/memorandum-de-planeacion-2011 31/44
[AUDITORES IP, S.A. DE C.V.] Memorándum de Planeación Auditoria de Sistemas
Elaborado por: Irene Mabel Huezo
FECHA:
Autorizado por: Mario Ponce
FECHA:
Cuestionario de Control Interno
Área: Políticas y Procedimientos
Objetivo: Conocer y evaluar que tipos de políticas y procedimientos de utilizan
para determinar como influyen en el control interno.
No.Pregunta SI NO N/A Observaciones
1.
2.
3.
4.
5.
6.
7.
¿Existe una persona responsable deevaluar y dictaminar normas en lo querespecta a metodologías de trabajo en elsistema?
¿Se han definido funciones deladministrador de base de datos?
¿Se han definido normas para larealización de la prueba de programas?
¿Es adecuado el procedimiento deselección del personal informático?
¿Hay relación entre los métodos deevaluación de rendimientos del sistema
y las posibilidades de mejora a éste? ¿Existen planes para incentivar alpersonal de informática por su trabajorealizado?
¿Son efectivos los informes que procesay produce el sistema? X
X
X
X
X
X
X
Para el volumen dedatos que maneja la
5/11/2018 Memorandum de Planeacion 2011 - slidepdf.com
http://slidepdf.com/reader/full/memorandum-de-planeacion-2011 32/44
[AUDITORES IP, S.A. DE C.V.] Memorándum de Planeación Auditoria de Sistemas
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
¿Están distribuidas las responsabilidadesdentro del Área de informática?
Se ha evaluado el grado deconocimiento del personal en las áreas:
Sistemas operativos Nuevos equipos y programas Comunicaciones y metodologías
de análisis y programación.
¿La Administración General considera laimportancia que tiene el estudio de lossistemas de información?
¿Se ha establecido requerimientos deinformación por departamento yusuarios?
¿Existen cambios en los sistemasinformáticos como consecuencia de laplanificación más que por la necesidadoperativa?
¿Están planificados los serviciosexternos tanto de hardware como
software?
¿Existe revisión del trabajo de procesode operación de captura de datos por elresponsable de informática?
¿Existen definidas las dependenciasfuncionales en un organigrama?
¿Existen manuales de funciones paracada puesto del departamento, consuficiente nivel de comprensión?
¿Existen políticas establecidas para eluso del equipo de Cómputo?
¿El manual del usuario esta definido de
X
X
X X X
X
X
X
X
X
X
X
empresa es útil.
Se requieren losconocimientosbásicos decomputación
5/11/2018 Memorandum de Planeacion 2011 - slidepdf.com
http://slidepdf.com/reader/full/memorandum-de-planeacion-2011 33/44
[AUDITORES IP, S.A. DE C.V.] Memorándum de Planeación Auditoria de Sistemas
18
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
manera clara y objetiva?
¿Existen controles internos para el áreade informática?
¿Existen procedimientos formales parala operación del sistema de cómputo.
Se actualizan periódicamente losprocedimientos?
¿Existen procedimientos escritos para larecuperación del sistema en caso defallas?
¿Se cuenta con políticas de seguridad enrelación a sistemas y programas?
¿En que basa el control del sistema?
Existen políticas administrativas queproporcionen la seguridad de que losobjetivos de implementación desistemas están claros y están siendo
alcanzados?
¿Existen normas para el uso del área deinformática?
¿La empresa utiliza políticas para lacontratación del personal?
¿Existe un adecuado control en cuanto ala seguridad del Departamento y
recursos informáticos en la empresa?
¿Cuáles son las medidas para garantizarla seguridad de la información?
X
X
X
X
X
X
X
X
X
X
X
Accesorestringido
Claves deacceso
No Existen controles
No por falta deinformación o falta deinterés al tema. Las condiciones quese exigen son lasrequiere el puesto.
No existedepartamentoinformático pero secuenta como medidade seguridad elBack up.
5/11/2018 Memorandum de Planeacion 2011 - slidepdf.com
http://slidepdf.com/reader/full/memorandum-de-planeacion-2011 34/44
[AUDITORES IP, S.A. DE C.V.] Memorándum de Planeación Auditoria de Sistemas
29.
30.
31.
32.
¿Qué medidas de seguridad aplica laadministración para salvaguardar losdatos y archivos que se procesan en elsistema? Planes de Contingencias que seponen en práctica. Cuentan con un área de auditoria deinformática? Si no ¿por qué?
¿Si cuentan con un área de auditoria deinformática, es beneficiosa esta áreapara la entidad?
¿Tienen niveles de materialidadestablecidos en la empresa y cual es elmargen de error tolerable con cuentan?
X
X
El cambio de los Pasword cada mespor parte del
Administrador delSistema.
La generación derespaldos en winrar. No, existen planes decontingencias ytampoco cuentan conun área de AuditoriaInformática debido a
que la área deutilización espequeña.
Elaborado por: Irene Mabel Huezo
FECHA:
Autorizado por: Mario Ponce FECHA:
5/11/2018 Memorandum de Planeacion 2011 - slidepdf.com
http://slidepdf.com/reader/full/memorandum-de-planeacion-2011 35/44
[AUDITORES IP, S.A. DE C.V.] Memorándum de Planeación Auditoria de Sistemas
Cuestionario de Control Interno
Área: Seguridad en el Sistema
Objetivo: Conocer y evaluar que tipos de seguridad que la institución aplica enel ambiente informático y en el sistema actual.
No.Pregunta SI NO N/A Observaciones
1.
2.
3.
4.
5.
6.
7.
¿Existen controles internos para el
acceso al sistema operativo?
¿Se cuenta con políticas de seguridaden relación a sistemas y programas?
¿Existe un adecuado control encuanto a la seguridad delDepartamento y recursosinformáticos en la empresa?
¿Cuáles son las medidas paragarantizar la seguridad de lainformación?
¿Qué medidas de seguridad aplica laadministración para salvaguardar losdatos y archivos que se procesan enel sistema? Planes de Contingenciasque se ponen en práctica.
¿Existe y se mantiene actualizado un Back-up?
¿Se obtiene regularmente copia de labase de Datos?
X
X
X
`
X
X
X
a) Acceso
restringido b) Claves deacceso
Password
Resguardo en Winrar
5/11/2018 Memorandum de Planeacion 2011 - slidepdf.com
http://slidepdf.com/reader/full/memorandum-de-planeacion-2011 36/44
[AUDITORES IP, S.A. DE C.V.] Memorándum de Planeación Auditoria de Sistemas
8.
9.
10.
¿Se cuenta con un plan de desastres?
¿Existe acceso restringido al centrode cómputo?
¿Existen mecanismos deidentificación del personal deinformática?
X
X
X
Elaborado por: Irene Mabel Huezo FECHA:
Autorizado por: Mario Ponce FECHA:
2) PROGRAMAS DE AUDITORIA.
Programa de Auditoria: NIVELES DE SEGURIDAD
Cliente: Distribuidora San Andres, S.A. de C.V. Archivo dePT´SPeríodo de Auditoria: Del 01 de Enero al 30 de noviembre de 2011
Objetivo General:Evaluar y determinar, si en el sistema se llevan acabo las medidas deseguridad apropiadas y permitentes que este exige y debe tener, tantofísicas como lógicas.
Niveles de Seguridad: La evaluación de los niveles de seguridad implica verificar que se
tengan los controles y restricciones apropiadas según el rol de losusuarios y el ambiente de el área de trabajo.La evaluación en este componente comprende:
Seguridad Fisica. Seguridad Logica. Panorama Tecnico. Valores Parametrizados. Pistas de auditoria.
5/11/2018 Memorandum de Planeacion 2011 - slidepdf.com
http://slidepdf.com/reader/full/memorandum-de-planeacion-2011 37/44
[AUDITORES IP, S.A. DE C.V.] Memorándum de Planeación Auditoria de Sistemas
No. Procedimiento Hecho por:
Referencia Pt´s
SEGURIDAD FISICA1 Verificar que el equipo este asegurado por cualquier
contingencia que ocurra.
2 Verificar si existe un contrato de mantenimiento de los equipos yasegurarse que cubra todos los equipos de cómputo y si dichomantenimiento es efectuado a tiempo.
3 Comprobar si existen baterías y realizar una prueba para verificarel funcionamiento de las baterías.
4 Verificación de custodia de medios extraíbles que son ingresadosal sistema.
5
SEGURIDAD LÓGICA
6 Verificar los niveles de seguridad que utiliza la empresa paratener acceso a todos los módulos. Y Solicite una lista autenticade los usuarios autorizados del sistema.
7 Observe los procedimientos de acceso al sistema y realice
pruebas de acceso.Verificar si tienen mecanismos de seguridad para evitar lareproducción de Información confidencial.
Conclusión
5 Concluya sobre el trabajo realizado y Redacte las observacionesy hallazgos encontrados.
Observaciones:
5/11/2018 Memorandum de Planeacion 2011 - slidepdf.com
http://slidepdf.com/reader/full/memorandum-de-planeacion-2011 38/44
[AUDITORES IP, S.A. DE C.V.] Memorándum de Planeación Auditoria de Sistemas
Preparado: Fecha: Hoja:
Supervisado: Fecha:Índice:
Aprobado: Fecha:
Programa de Auditoria: FUNCIONAMIENTO DEL SISTEMA
Cliente: Distribuidora San Andres, S.A. de C.V. Archivo dePT´SPeríodo de Auditoria: Del 01 de Enero al 30 de noviembre de 2011
Objetivo General:Realizar examen del funcionamiento general del sistema en función
de las necesidades del usuario, la eficiencia y la eficacia.
Funcionamiento: La evaluación del funcionamiento del sistema consiste en determinarsi este cumple satisfactoriamente los objetivos para lo que ha sidoimplementado o adquirido y si este se adapta a las necesidades de losusuarios y si posee la capacidad de brindar información confiable yde manera eficiente.La evaluación en este componente comprende:
Origen de datos. Entrada de datos. Proceso de datos. Salida de información.
No. Procedimiento Hecho por:
Referencia Pt´s
1 Elabore una narrativa detallando el proceso de alimentación delos datos de las terminales y la manera en cómo se valida lainformación, detallando los niveles de autorización y laspersonas que intervienen en el proceso.
2 De un reporte de al menos 5 transacciones, verifique que en estosse documente apropiadamente el origen y entrada de los datospara los siguientes procesos.
Pedidos a proveedores, Autorización del pedido. Que los datos del pedido coincidan con los valores
autorizados. Existencia de enmiendas.
5/11/2018 Memorandum de Planeacion 2011 - slidepdf.com
http://slidepdf.com/reader/full/memorandum-de-planeacion-2011 39/44
[AUDITORES IP, S.A. DE C.V.] Memorándum de Planeación Auditoria de Sistemas
No. Procedimiento Hecho
por:
Referencia
Pt´s
Cotizaciones para pedidos.
Recepción de Inventarios (entradas de Stock) y . Que el ingreso del inventario coincida con los valores delpedido respectivo.
Que la fecha de la transacción coincida con la fecha delos documentos.
Que la documentación del ingreso a inventario estedebidamente autorizada.
Facturas: Que si se efectuaron cotizaciones estas se documenten. Monto de las operaciones.
Cantidades. Condiciones de crédito según los criterios de la
administración.3 Compruebe mediante pruebas de adición de datos si el sistema
efectúa los cálculos apropiados, para las ventas, compras ycontrol de Existencias de Inventario.
4 Verifique que los reportes generados, sean íntegros eninformación según los requerimientos del usuario así como quela información no se pierda en la exportación de los reportes alos distintos tipos de archivos disponibles.
5 Verifique si el sistema emite reportes vinculados con la captura
de datos fuente y con qué periodicidad se emiten.6 Corrobore que el sistema no permita duplicar transacciones de
ventas o compras.7 Verifique si la empresa posee un Software de antivirus y si este
se encuentra debidamente actualizado.
Conclusión
5 Concluya sobre el trabajo realizado y Redacte las observacionesy hallazgos encontrados.
Observaciones:
5/11/2018 Memorandum de Planeacion 2011 - slidepdf.com
http://slidepdf.com/reader/full/memorandum-de-planeacion-2011 40/44
[AUDITORES IP, S.A. DE C.V.] Memorándum de Planeación Auditoria de Sistemas
Preparado: Fecha: Hoja:
Supervisado: Fecha:
Índice:Aprobado: Fecha:
Programa de Auditoria: MARCO LEGAL Y POLITICAS
Cliente: Distribuidora San Andrés, S.A. de C.V. Archivo dePT´SPeríodo de Auditoria: Del 01 de Enero al 30 de noviembre de 2011
Objetivo General:
Realizar examen del cumplimiento apropiado de las leyes yregulaciones que incidan en el uso apropiado del sistema.Documentar la existencias de políticas y procedimientos, así como elcumplimiento de estas.
Marco Legal ,Cumplimiento DePolíticas yProcedimientos:
La evaluación de este componente permite establecer si la entidadcuenta con un ámbito legal adecuado, así como verificar que tanefectivo es el sistema de control en su aplicación.Incluye el examen de:
Leyes y reglamentos aplicables. Controles administrativos. Normas y procedimientos. Manual de usuarios.
No. Procedimiento Hecho por:
Referencia Pt´s
1 Elabore una narrativa describiendo el proceso de laadministración y aplicación de políticas en el uso y manipulacióndel sistema y los equipos de computo.
2 Elaborar una cédula en la cual se resuman el total de las Políticasy Procedimientos a evaluar dentro de la entidad.
3 Verificar que exista una segregación de funciones del personalque interviene el sistema, como prevención de fraudes y errores.
4 Obtenga un reporte del registro y listado de inventario yverifique que este cumpla con los siguientes requisitos (segúnaplique):
1. Un encabezado que identifique el título del registro; nombre
5/11/2018 Memorandum de Planeacion 2011 - slidepdf.com
http://slidepdf.com/reader/full/memorandum-de-planeacion-2011 41/44
[AUDITORES IP, S.A. DE C.V.] Memorándum de Planeación Auditoria de Sistemas
No. Procedimiento Hecho
por:
Referencia
Pt´sdel contribuyente, período que abarca, NIT y NRC;
2. Correlativo de la operación;3. Fecha de la operación;
4. Número de Comprobante de Crédito Fiscal, Nota de Crédito,Nota de Débito, Factura de Consumidor Final, documento desujeto excluido a que se refiere el artículo 119 de éste Código,Declaración de Mercancía o Formulario Aduanerocorrespondiente, según el caso;
5. Nombre, razón social o denominación del proveedor;6. Nacionalidad del proveedor;7. Descripción del producto comprado, especificando las
características que permitan individualizarlo e identificarlosplenamente;
8. Fuente o referencia del libro de costos de retaceos o decompras locales de donde ha sido tomado el costo
correspondiente, o en su caso la referencia de la hoja de costoso informe de donde se ha tomado el costo de producción de lasunidades producidas;
9. Número de unidades que ingresan;10. Número de unidades que salen;11. Saldo en unidades;12. Importe monetario o precio de costo de las unidades que
ingresan;13. Importe monetario o precio de costo o venta, según el caso de
las unidades que salen; y,14. Saldo monetario del importe de las unidades existentes, a
precio de costo.
Adicionalmente verifique si el sistema es capaz de aceptarajustes a los inventarios por descuentos, rebajas o incrementos enlos precios.
5 Verifique la existencia de manuales de Usuario, Instalación yManual Técnico para el Sistema.
Conclusión
4 Concluya sobre el trabajo realizado y Redacte las observacionesy hallazgos encontrados.
Observaciones:
5/11/2018 Memorandum de Planeacion 2011 - slidepdf.com
http://slidepdf.com/reader/full/memorandum-de-planeacion-2011 42/44
[AUDITORES IP, S.A. DE C.V.] Memorándum de Planeación Auditoria de Sistemas
Preparado: Fecha: Hoja:
Supervisado: Fecha:Índice:
Aprobado: Fecha:
Programa de Auditoria: PLANES DE CONTINGENCIA
Cliente: Distribuidora San Andrés, S.A. de C.V.
Archivo dePT´SPeríodo de Auditoria: Del 01 de Enero al 30 de noviembre de 2011
Objetivo General:Comprobar que los planes de contingencias sean apropiados y que segarantice la seguridad y confidencialidad de la información.
Planes de Contingencia: Consiste en planes implementados por la entidad parasalvaguardar la seguridad y confidencialidad de la información ylos equipos. En este componente se verifica que se posean planesde respaldo de información y Custodia de los mismos.
No. Procedimiento Hecho por:
Referencia Pt´s
1 Verifique que se defina una política apropiada de planes decontingencia y evalué si esta se adhiere a las necesidades de laentidad.
2 Compruebe si se cumplen los periodos de creación de las copiasde seguridad obteniendo un listado del ultimo año de los backupsrealizados y las fechas en las que se efectuo.
3 Verifique el tipo de información sujeta a backup, considerando sies apropiada e integra.
4 Elabore una narrativa del proceso de las copias de seguridad eindentifique quien esta a cargo de la custodia de la información ysi existen restricciones apropiadas de acceso.Conclusión
5 Concluya sobre el trabajo realizado y Redacte las observacionesy hallazgos encontrados.
5/11/2018 Memorandum de Planeacion 2011 - slidepdf.com
http://slidepdf.com/reader/full/memorandum-de-planeacion-2011 43/44
[AUDITORES IP, S.A. DE C.V.] Memorándum de Planeación Auditoria de Sistemas
Observaciones:
Preparado: Fecha: Hoja:
Supervisado: Fecha:Índice:
Aprobado: Fecha:
3) CEDULA DE MARCAS DE AUDITORIA.
AUDITORES DE SISTEMAS IP S.A. DE C.V.REF:
DISTRIBUIDORA SAN ANDRES.
AUDITORIA DE SISTEMA INFORMÁTICO DE FACTURACIÓN E INVENTARIOS
& = Obtenido de Comprobación física de los equipos y ubicaciones
£ = Áreas según organigrama
C/G = Carta de Gerencia
A/G = Archivo General
µ = Cumplimiento Verificado
∫= Verificación física.
Φ = Datos Obtenidos de Reportes del Sistema
Ç= Verificado con el Sistema
£ = Verificado contra documento
β = Cálculos Verificados
5/11/2018 Memorandum de Planeacion 2011 - slidepdf.com
http://slidepdf.com/reader/full/memorandum-de-planeacion-2011 44/44
[AUDITORES IP, S.A. DE C.V.] Memorándum de Planeación Auditoria de Sistemas
∮= Documentación no apropiada.
Š = Comentario del personal
¬ = Verificado contra Software
~ = Verificar contra documento adjunto.